基于Linux系统的网络安全策略及Linux组网技术

基于Linux系统的网络安全策略及Linux组网技术

摘要：

Linux系统是一种应用越来越广泛的网络操作系统，为确保系统安全稳定的运转，在实际运用时应该采用适当的安全机制，本文就此提出了切实可行的基于Linux系统的网络安全策略和保护措施。

关键词：Linux、操作系统、网络安全、策略

1 引言

随着Internet／Intranet网络的日益普及，采用Linux网络操作系统作为服务器的用户也越来越多，这一方面是因为Linux是开放源代码的免费正版软件，另一方面也是因为较之微软的Windows NT网络操作系统而言，Linux系统具有更好的稳定性、效率性和安全性。在I nternet／Intranet的大量应用中，网络本身的安全面临着重大的挑战，随之而来的信息安全问题也日益突出。以美国为例，据美国联邦调查局（ＦＢＩ）公布的统计数据，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全球平均每20秒钟就发生一起Internet 计算机黑客侵入事件。一般认为，计算机网络系统的安全威胁主要来自黑客攻击和计算机病毒2个方面。那么黑客攻击为什么能够经常得逞呢？主要原因是很多人，尤其是很多网络管理员没有起码的网络安全防范意识，没有针对所用的网络操作系统，采取有效的安全策略和安全机制，给黑客以可乘之机。在我国，由于网络安全研究起步较晚，因此网络安全技术和网络安全人才还有待整体的提高和发展，本文希望就这一问题进行有益的分析和探讨。

我们知道，网络操作系统是用于管理计算机网络中的各种软硬件资源，实现资源共享，并为整个网络中的用户提供服务，保证网络系统正常运行的一种系统软件。如何确保网络操作系统的安全，是网络安全的根本所在。只有网络操作系统安全可靠，才能保证整个网络的安全。因此，详细分析Linux系统的安全机制，找出它可能存在的安全隐患，给出相应的安全策略和保护措施是十分必要的。

2 Linux网络操作系统的基本安全机制

Linux网络操作系统提供了用户帐号、文件系统权限和系统日志文件等基本安全机制，如果这些安全机制配置不当，就会使系统存在一定的安全隐患。因此，网络系统管理员必须小心地设置这些安全机制。

2.1 Linux系统的用户帐号

在Linux系统中，用户帐号是用户的身份标志，它由用户名和用户口令组成。在Linux 系统中，系统将输入的用户名存放在/etc/passwd文件中，而将输入的口令以加密的形式存放在/etc/shadow文件中。在正常情况下，这些口令和其他信息由操作系统保护，能够对其进行访问的只能是超级用户(root)和操作系统的一些应用程序。但是如果配置不当或在一些系统

运行出错的情况下，这些信息可以被普通用户得到。进而，不怀好意的用户就可以使用一类被称为“口令破解”的工具去得到加密前的口令。

2.2 Linux的文件系统权限

Linux文件系统的安全主要是通过设置文件的权限来实现的。每一个Linux的文件或目录，都有3组属性，分别定义文件或目录的所有者，用户组和其他人的使用权限（只读、可写、可执行、允许SUID、允许SGID等）。特别注意，权限为SUID和SGID的可执行文件，在程序运行过程中，会给进程赋予所有者的权限，如果被黑客发现并利用就会给系统造成危害。

2.3 合理利用Linux的日志文件

Linux的日志文件用来记录整个操作系统使用状况。作为一个Linux网络系统管理员要充分用好以下几个日志文件。

2.3.1 /var/log/lastlog文件

记录最后进入系统的用户的信息，包括登录的时间、登录是否成功等信息。这样用户登录后只要用lastlog命令查看一下/var/log/lastlog文件中记录的所用帐号的最后登录时间，再与自己的用机记录对比一下就可以发现该帐号是否被黑客盗用。

2.3.2 /var/log/secure文件

记录系统自开通以来所有用户的登录时间和地点，可以给系统管理员提供更多的参考。

2.3.3 /var/log/wtmp文件

记录当前和历史上登录到系统的用户的登录时间、地点和注销时间等信息。可以用last

命令查看，若想清除系统登录信息，只需删除这个文件，系统会生成新的登录信息。

3 Linux网络系统可能受到的攻击和安全防范策略

Linux操作系统是一种公开源码的操作系统，因此比较容易受到来自底层的攻击，系统管理员一定要有安全防范意识，对系统采取一定的安全措施，这样才能提高Linux系统的安全性。对于系统管理员来讲特别是要搞清楚对Linux网络系统可能的攻击方法，并采取必要的措施保护自己的系统。

3.1 Linux网络系统可能受到的攻击类型

3.1.1 “拒绝服务”攻击

所谓“拒绝服务”攻击是指黑客采取具有破坏性的方法阻塞目标网络的资源，使网络暂时或永久瘫痪，从而使Linux网络服务器无法为正常的用户提供服务。例如黑客可以利用伪造的源地址或受控的其他地方的多台计算机同时向目标计算机发出大量、连续的TCP/IP请求，从而使目标服务器系统瘫痪。

3.1.2 “口令破解”攻击

口令安全是保卫自己系统安全的第一道防线。“口令破解”攻击的目的是为了破解用户的口令，从而可以取得已经加密的信息资源。例如黑客可以利用一台高速计算机，配合一个字典库，尝试各种口令组合，直到最终找到能够进入系统的口令，打开网络资源。

3.1.3 “欺骗用户”攻击

“欺骗用户”攻击是指网络黑客伪装成网络公司或计算机服务商的工程技术人员，向用户发出呼叫，并在适当的时候要求用户输入口令，这是用户最难对付的一种攻击方式，一旦用户口令失密，黑客就可以利用该用户的帐号进入系统。

3.1.4 “扫描程序和网络监听”攻击

许多网络入侵是从扫描开始的，利用扫描工具黑客能找出目标主机上各种各样的漏洞，并利用之对系统实施攻击。

网络监听也是黑客们常用的一种方法，当成功地登录到一台网络上的主机，并取得了这台主机的超级用户控制权之后，黑客可以利用网络监听收集敏感数据或者认证信息，以便日后夺取网络中其他主机的控制权。

3.2 Linux网络安全防范策略

纵观网络的发展历史，可以看出，对网络的攻击可能来自非法用户，也可能来自合法的用户。因此作为Linux网络系统的管理员，既要时刻警惕来自外部的黑客攻击，又要加强对内部网络用户的管理和教育，具体可以采用以下的安全策略。

3.2.1 仔细设置每个内部用户的权限

为了保护Linux网络系统的资源，在给内部网络用户开设帐号时，要仔细设置每个内部用户的权限，一般应遵循“最小权限”原则，也就是仅给每个用户授予完成他们特定任务所必须的服务器访问权限。这样做会大大加重系统管理员的管理工作量，但为了整个网络系统的安全还是应该坚持这个原则。

2.确保用户口令文件/etc/shadow的安全

对于网络系统而言，口令是比较容易出问题的地方，作为系统管理员应告诉用户在设置口令时要使用安全口令（在口令序列中使用非字母，非数字等特殊字符）并适当增加口令的长度（大于6个字符）。系统管理员要保护好/etc/passwd和/etc/shadow这两个文件的安全，不让无关的人员获得这两个文件，这样黑客利用John等程序对/etc/passwd和/etc/shadow文件进行了字典攻击获取用户口令的企图就无法进行。系统管理员要定期用John等程序对本系统的/etc/passwd和/etc/shadow文件进行模拟字典攻击，一旦发现有不安全的用户口令，要强制用户立即修改。

3.2.3 加强对系统运行的监控和记录

Linux网络系统管理员，应对整个网络系统的运行状况进行监控和记录，这样通过分析记录数据，可以发现可疑的网络活动，并采取措施预先阻止今后可能发生的入侵行为。如果进攻行为已经实施，则可以利用记录数据跟踪和识别侵入系统的黑客。

3.2.4 合理划分子网和设置防火墙

如果内部网络要进入Internet，必须在内部网络与外部网络的接口处设置防火墙，以确保内部网络中的数据安全。对于内部网络本身，为了便于管理，合理分配IP地址资源，应该将内部网络划分为多个子网，这样做也可以阻止或延缓黑客对整个内部网络的入侵。

3.2.5 定期对Linux网络进行安全检查

Linux网络系统的运转是动态变化的，因此对它的安全管理也是变化的，没有固定的模式，作为Linux网络系统的管理员，在为系统设置了安全防范策略后，应定期对系统进行安全检查，并尝试对自己管理的服务器进行攻击，如果发现安全机制中的漏洞应立即采取措施补救，不给黑客以可乘之机。

3.2.6 制定适当的数据备份计划确保系统万无一失

没有一种操作系统的运转是百分之百可靠的，也没有一种安全策略是万无一失的，因此作为Linux系统管理员，必须为系统制定适当的数据备份计划，充分利用磁带机、光盘刻录机、双机热备份等技术手段为系统保存数据备份，使系统一旦遭到破坏或黑客攻击而发生瘫痪时，能迅速恢复工作，把损失减少到最小。

4 加强对Linux网络服务器的管理，合理使用各种工具

4.1 利用记录工具，记录对Linux系统的访问

Linux系统管理员可以利用前面所述的记录文件和记录工具记录事件，可以每天查看或扫描记录文件，这些文件记录了系统运行的所有信息。如果需要，还可以把高优先级的事件提取出来传送给相关人员处理，如果发现异常可以立即采取措施。

4.2 慎用Telnet服务

在Linux下，用Telnet进行远程登录时，用户名和用户密码是明文传输的，这就有可能被在网上监听的其他用户截获。另一个危险是黑客可以利用Telnet登入系统，如果他又获取了超级用户密码，则对系统的危害将是灾难性的。因此，如果不是特别需要，不要开放T elnet服务。如果一定要开放Telnet服务，应该要求用户用特殊的工具软件进行远程登录，这样就可以在网上传送加密过的用户密码，以免密码在传输过程中被黑客截获。

4.3 合理设置NFS服务和NIS服务

NFS（Network File System）服务，允许工作站通过网络共享一个或多个服务器输出的文件系统。但对于配置得不好的NFS服务器来讲，用户不经登录就可以阅读或者更改存储在NFS服务器上的文件，使得NFS服务器很容易受到攻击。如果一定要提供NFS服务，要确保基于Linux的NFS服务器支持Secure RPC(Secure Remote Procedure Call)，以便利用

DES（Data Encryption Standard）加密算法和指数密钥交换（Exponential Key Exchange）技术验证每个NFS请求的用户身份。

NIS（Network Information System）服务，是一个分布式数据处理系统，它使网络中的计算机通过网络共享passwd文件，group文件，主机表文件和其他共享的系统资源。通过N IS服务和NFS服务，在整个网络中的各个工作站上操作网络中的数据就像在操作和使用单个计算机系统中的资源一样，并且这种操作过程对用户是透明的。但是NIS服务也有漏洞，在NIS系统中，不怀好意的用户可以利用自己编写的程序来模仿Linux系统中的ypserv 响应ypbind的请求，从而截获用户的密码。因此，NIS的用户一定要使用ypbind的secure选项，并且不接受端口号小于1024（非特权端口）的ypserv响应。

4.4 小心配置FTP服务

FTP服务与前面讲的Telnet服务一样，用户名和用户密码也是明文传输的。因此，为了系统的安全，必须通过对/etc/ftpusers文件的配置，禁止root，bin，daemon，adm等特殊用户对FTP服务器进行远程访问，通过对/etc/ftphosts的设定限制某些主机不能连入FTP服务器，如果系统开放匿名FTP服务，则任何人都可以下载文件（有时还可以上载文件），因此，除非特别需要一般应禁止匿名FTP服务。

4.5 合理设置POP-3和Sendmail等电子邮件服务

对一般的POP-3服务来讲，电子邮件用户的口令是按明文方式传送到网络中的，黑客可以很容易截获用户名和用户密码。要想解决这个问题，必须安装支持加密传送密码的POP-3服务器（即支持Authenticated POP命令），这样用户在往网络中传送密码之前，可以先对密码加密。

老版本的Sendmail邮件服务器程序存在安全隐患，为了确保邮件服务器的安全，应尽可能安装已消除安全隐患的最新版的Sendmail服务器软件。

4.6 加强对WWW服务器的管理，提供安全的WWW服务

当一个基于Linux系统的网站建立好之后，绝大部分用户是通过Web服务器，利用WW W浏览器对网络进行访问的，因此必须特别重视Web服务器的安全，无论采用哪种基于H TTP协议的Web服务器软件，都要特别关注CGI脚本（Common Gateway Interface），这些CGI脚本是可执行程序，一般存放在Web服务器的CGI-BIN目录下面，在配置Web服务器时，要保证CGI可执行脚本只存放于CGI-BIN目录中，这样可以保证脚本的安全，且不会影响到其他目录的安全。

4.7 最好禁止提供finger 服务

在Linux系统下，使用finger命令，可以显示本地或远程系统中目前已登录用户的详细信息，黑客可以利用这些信息，增大侵入系统的机会。为了系统的安全，最好禁止提供finger 服务，即从/usr/bin下删除finger 命令。如果要保留finger服务，应将finger文件换名，或修改权限为只允许root用户执行finger命令。

5 结束语

由于Linux操作系统使用广泛，又公开了源码，因此是被广大计算机用户研究得最彻底的操作系统，而Linux本身的配置又相当的复杂，按照前面的安全策略和保护机制，可以将系统的风险降到最低，但不可能彻底消除安全漏洞，作为Linux系统的管理员，头脑中一定要有安全防范意识，定期对系统进行安全检查，发现漏洞要立即采取措施，不给黑客以可乘之机。

LinUx组网技术

[摘要]Linux是Iternet的产物，可以看作是互联网发展的作品。开放源代码保证了用户有足够的权利，不受传统的商业许可证的限制。它提供许多有关网络应用的服务在这遍文章中只从Web服务器、邮件服务器、FTPBS务器等几个方面的功能作一些论述。

[关键词]共享intemet连接web服务器FTP服务器邮件服务器

Linux作为自山软件的一个重要的成果，可以看作是互联网发展的作品。可获得源代码的版权，保证了用户有足够的权利，不受传统的商业许可证的限制。对专有商业软件所带来的安全方面的担心，开放源代码的Linux是不存在的。Linux在我国的发展经历了四五年时间，最初的几年只是学校和科研单位使用。最近的两年逐渐进入媒体、企业和普通大众的视线。尽管Linux在高端服务器和嵌入式方面发展迅速，目前Linux的应用主要在网络应用上。成为中小企业、家庭的网络服务器，提供Web服务、电子邮件(E-mail)服务、文件传输(FTP)服务、域名(DNS)服务。事实上，成功的安装后的Linux就可以作为Web、E-mail、F TP、News服务器。当然作为中小企业可能还需要一些更为复杂的功能，比如作为DNS服务器、代理网关或者路由、虚拟主机、防火墙、拨入服务器等，这些都需要特别的知识或者经验。

服务器操作系统的安装

在这里我们将要帮助大家使用Linux平台构建起一个实用的网络体系，您可以把本文作为一个网络应用的向导。本文的重点就是讲述企业内部采用Linux作为系统平台时各种应用的安装和配置过程。以前能够在Windows系统实现的各种网络服务功能，现在都可以在Linux的环境中实施了。其中包括文件和打印共享(SAMBA)，互联网连接共享和代理(Proxy)，Intemet防火墙(Firewall)，域名服务(DNS)，电子邮件服务(E—mail)，Web服务(HTTP)，数据库服务（ATABASE），文件传输服务(FTP)等，更进一步可以在Linux上实现诸如虚拟专用网(VPN)，字符界面或Web界面的论坛服务(BBS)，拨号网络接入服务(PPP)等等，更重要的是Linux的可扩展性很强，可以方便地在其上扩展众多的网络应用。

本文介绍的是基于Linux平台的网络解决方案，服务器操作系统当然选择Linux。在众多的Linux发布中，目前应用最多的是Redhat Linux。由于关于它的参考资料比较多，我们就以它作为我们的服务器操作系统，这样便于大家在遇到问题时更容易地找到答案，加上Redhat的包管理器RPM在使用±LC较方便，安装软件相对来说就容易些了。

一、机器的硬件配置

虽然Linux可以在386、4MB内存的机器上跑起来，但作为实际的应用，应该使用更好的机器以获得较好的性能。在我们的局域网中，除了数据库服务29建议使用PII以上的C PU，128MB以上的内存外(若使用Oracle8i数据库，推荐256MB内存)，其他的服务器均可在Pentiuml33、64MB内存以上的PC±良好运作。

二、服务器硬盘分区

很多人习惯将硬盘只分一个‘/’(根)分区，但作为服务器，为了使系统在一些意外发生时(如：系统日志文件或用户文件超过了服务器硬盘剩余空间)仍然能够运行，以便管理员可以检查和处理这些问题，应该将一些分区独立出来，以下是笔者的一些建议：交换分区的大小为16MB或服务器内存的2倍中的大者，但不要超过1GB，超过10B的交换分区对于目前的Linux来说还用不上；“hoof”分区是系统启动文件存放的地方，一般不会有多大的变化，推荐的分区大小是10MB：“/Var”分区包括有系统的日志文件等，这些文件会随着系统的运行逐渐增大，对于一般局域网的系统推荐分区大小为250MB；“／tmp”为系统临时文件存放区，比如你在压缩或解压缩的时候会在其中生成临时文件，推荐的分区大小为2 50MB：((“／”(根)分区包括系统的配置文件目录、设备目录、系统程序目录等，变化也不大，推荐分区大小为250MB；剩下的2个分区"home"和“／usr，’分别包含了用户数据以及系统和用户的应用程序，可以根据需要将剩余的硬盘空间分配给它们，如作为文件共享，并希望用户的数据存储在"／home"分区，就可以适当增加该分区的大小，如果要安装很多应用程序，比如做测试的服务器，应适当增加"／usr"分区的大小。具体的分区可以根据你的实际情况做—些调整。

我在安装时选用的是图形界面，安装比较简单，这里我就不再详细的叙述。具体的安装步骤请参看浦东电子出版社的《全程图解Linux))。

三、共享Intemet连接

共享Intemet连接是目前比较流行的低成本的上网方式，通过一台作为网关的服务器将公司局域网上的电脑连上Intemet，共用一个上网账号，可以提高Intemet连接的使用效率。根据接入Intemet的方式的不同，所进行的配置工作也不相同。我们常见的有以下3种情况：

1．通过DDN专线上网，这种情况就可能需要为该服务器配置2块网卡，一块接入内部局域网，一块通过路由器和你的ISP相连。

2．使用ISDN上网，通过连接在串口的ISDN设备(TA)连接到你的ISP。

3．使用普通电话线上网，使用内置或外置的拨号设备Modem连接到你的ISP。在我们的介绍中采用外置的调制解调器。

架设WEB服务器

一、什么是WWW服务

现在在Internet上最热门的服务之一就是环球信息网WWW(WorldWideWeb)服务，W eb已经成为很多人在网上查找、浏览信息的主要手段。WWW是一种交互式图形界面的Int

ernet服务，具有强大的信息连接功能。它使得成千上万的用户通过简单的图形界面就可以访问各个大学、组织、公司等的最新信息和各种服务。

目前，在世界各地有许多公司和学术团体，根据不同的计算机系统，开发出不同的WW W服务器，如Apache、CERNhttpd、Microsoft Internet lnformationSystem、NCSA httpd、P lexus httpd、WebSite等。在UNIX几INUX系统中常用的有：CERN、NCSA、Apache三种。根据著名的WWW服务器调查公司所作的调查，世界上百分之五十以上的删服务器都在使用Apache，是世界排名第一的WEB服务器。我这里就是选择用Apache来做WWW服务器软件的。

我在安装Linux的选择启动进程中，已经选择安装了用httpd，Apache就会被安装进去了，并且能满足日常的应用需要，下面我们只要进行一些更具体的设置工作就行了。

二、Apache的设置

从Apache 1．3．4开始，三个配置文件：srm．conf，httpd．conf，access．conf的指令都已经集中在httpd．conf一个文件中，所以只需要修改此文件即可。我们使用文本编辑器打开httpd．conf。

下面就一些重要选项的设置过程作一个介绍。

1、ServerType是用来设定服务器的启动方式。命令格式：

ServerType[standalone／inetd]。

standalone参数表示WEB服务进程以一个单独的守候进程的方式在后台侦听是否有客户端的请求，如果有就生成一个子进程来为其服务。

inetd参数表示WEB服务不是以一个单独的守候进程的形式支持。而是由Inetd这个超级服务器守候进程进行代劳，当它收到一个客户端的WEB服务请求的时候，再启动一个WE B服务进程为其服务。

这里我们设置为“ServerType standalone”。

2、设置服务器的服务指定端口号为Port 80。一般来说，Web服务使用端口80，如果你设定了别的端口号，别人在使用你的Web服务时，就必须输入“http：／／XXX．XXX．XXX：端口号”这样就很不方便。

3、Server Admin命令，用来设置WEB管理员的E-Mail地址。这个地址会出现在系统连接出错的时候，以便访问者能够将情况及时地告知WEB管理员。

4、BindAddress是用来设定要从哪个地址来接受服务，这里填入

“BindAddress。”，表示可以接受来自IP地址及域名地址两种方式的访问。

BindAddress IP 表示只接受输入IP地址的访问

BindAddress FQDN 表示只接受输入域名地址的访问

BindAddress* 表示接受以上两种方式的访问

5、Timeout命令，只要客户端超过这里设定的秒数还没有完成一个请求的话，服务端将终止这次请求服务，这里写成“Timeout 300'’。如果网络速度较慢的话，建议在此设置较大的数值。以给客户端更多机会。

6、KeepAlive用来设置是否开启连续请求访问的功能，这里设为开启“KeepAlive on”，以便接受连续访问的请求。

7、MinSpareServer用于设置Web服务进程的最小空闲个数，命令使用方法是“Min SpareServer[number]”，这里修改为“MinSpareServer 5”，表示Web服务进程的最小空闲数为5，如果低于这个数字，系统就会自动开启进程来满足服务进程的设置要求。

8、StartServer用来设置刚开启Web服务器时生成几个服务进程。这里设置成“Start Server 5”表示刚开启Web服务器时生成5个服务进程。

9、MaxClients用来设置接受客户端请求的最大数目，以维护系统稳定性，避免系统负载过大。这里设置成“MaxClientsl50'’就表示最大能接受的客户端的请求数目为150个。

10、ServerName：设置WWW服务器的域名，若不设置，WWW服务器会从系统中使用get host by name来获得ServerName的名称，建议使用实际域名服务器(Domain Nam e Server)中所设置该WWW服务器使用的域名。

11、DocumentRoot命令：DocumentRoot是一个非常重要的命令，对WWW服务器而言，基本上只能从DocumentRoot所设置的目录中读取HTML文件来传送给WWW客户，DocumentRoot也就是HTML文件的根目录，若不是在这个目录中的HTML文件，WWW服务器是无法使用的。

12、UserDir命令：若连接了WWW服务器要让公司员工每个人都有自己的主页，将每个人所编写的HTML文件放在DocumentRoot目录中那就太麻烦了，而且对DocumentRo ot目录权限的设置也较复杂，所以便用UserDir命令可以让每个人的主页放在自己的Home Directory中。

13、irectorylndex命令：若从WWW客户端输入要连接的URL时，没有指定文件，但还是可以连接主页，那是因为在WWW服务器执行了Directorylndex命令的关系。Directoryln dex命令设置一个或几个文件名，当连接时使用的URL没有指定目录或文件名时便自动地在所指定的DocumentRoot目录中寻找所指定的文件，如index．html，来传送给WWW客户，这就是为什么URL不用指定文件名也可连接的原因。

14、pache服务器提供了许多环境变量可以用于CGI程序的编写，了解它们也一定有助于写出充分利用Apache的CGI程序，所以在此也对此作一简单介绍。(1)服务器变量：服务器变量由Apache设置用来通知CGI程序有关Apache的情况。通过使用这些变量，CGI程序能确定有关服务器的不同信息：Apache的版本，管理员的E—Mail地址等。①SERVER_

SOFTWARE：这个变量是WWW服务器Apache的版本号，它的值形如：Apache／Version；

②GATEWAY_INTERFACE：这个变量的值是当前CGI规范的版本号，其值形如：CGI ／1．1；③SERVER_ADMIN：如果在httpd．conf文件中有设置站点管理员的e-mail地址的话，这个变量就会存放着这个e—mail地址；④DOCUMENT_ROOT：这个变量存放在是被访问的删站点的DocumentRoot命令指定的值。(2)客户请求变量Apache提供的有关客户请求方的环境变量有许多，以下只是有选择性地介绍一些最常见的。①SERVER-NAME：此变量可以告诉CGI程序它访问的是哪一个主机。这个值可以是IP地址也可以是完整的主机名；②HTTP-ACCEPT：此变量被赋值为客户所能接受的MIME类型的列表，如：HTT P_ACCEPT=image／gif；③HTTP-ACCEPT—CHARSET：此变量被赋值为客户所能接受的字符集，如：HTTP ACCEPT—CHARASET=iso—8859—1?，*，utf—8；④HTTP ACCEPT LANGUAGE：此变量被赋值为客户所能接受的语言，如：HTTP ACCEPT LANGUAG E’en；⑤HTTP ACCEPT AGENT：这个变量指定发出请求的系统正在运行的浏览器类型和操作系统；⑥HTTP_PORT：服务端口；REMOTE』OST：客户端的IP地址或IP名称信息；REMOTE PORT：客户端的端口号；

参考文献

1.张小斌、严望佳。黑客分析与防范技术。北京：清华大学出版社，1999年5月，IS

BN7-302-03460-5/TP.1885

2.张轶博、孙占峰。Linux应用大全。北京：机械工业出版社，2000年1月，ISBN7-

111-07768-7

3.施势帆、吕建毅。Linux网络服务器实用手册。北京：清华大学出版社，1999年7

月，ISBN7-900617-86-8